útok na ftp, nutno opravit jeden soubor, kde už nemám přístup

babettyjednoduse · 2025-04-05 13:57:24

Dobrý den,

dne 4.4 provedl neznámý útočník z Asie útok na web babetty.jednoduse.cz s tím, že se mu podařilo připojit pouze na ftp webu a do každého adresáře nacpal modifikovaný index.php soubor, který přesměrovává na jeho stránku. Provedl jsem obnovení zálohy webu z 3.4, což se povedlo (a původní web z dneška se spoustou index.php souborů je umístěn v záloze), ale v kořenovém adresáři stále zůstává index.php soubor, který přesměrovává na jeho web a já už nemám oprávnění, abych ten soubor modifikoval. Můžete ho prosím smazat nebo spravit, aby to fungovalo? To samé je v adresáři cache, log, kde v každém podadresáři tento soubor je.

Teď si říkám, jak se to stalo, že se dostal útočník na to ftp. Já jsem určitě v poslední době se na ftp nepřipojoval, tím myslím cca rok. Asi mi doporučíte změnit hesla na ftp. A případně ještě někde?

Děkuji.
P.M.

smartgraphicstud · 2025-04-05 22:02:44

Potvrdzujem rovnaky problem, vsetky nase wordpress stranky hacknute, v hlavicke suboru index.php presmerovaci link, subory mimo zlozky web sa nedaju prepisat

pctuning6fsk · 2025-04-05 22:10:17

taktiez potvrdzujem, vo vyssich adresaroch kde nemam pristup treba odstranit index.php

naradiedielna6fs · 2025-04-05 22:19:53

Potvrdzujem mám rovnaký problém

kolbenova1177 · 2025-04-05 22:40:45

Mám stejný problém, jak se to mohlo stát? A jak to, že nás je tolik?

smartgraphicstud · 2025-04-06 02:44:33

Uz mi to ide, obnovil som zo zalohy nie len subory ale aj databazu z 3.4.2025 - endora robi kazdy den zalohy oboch: subory najdete vo Webove prostory - nazov domeny - Zalohy a databazy najdete v Databáze MySQL - MyISAM.
Napadnute boli len wordpress webstranky, stranky v Joomle mi funguju.

palpav · 2025-04-06 11:29:08

Dobrý den, také se přidávám a hlasím, že ani obnova teď není fukční a možná. Budu čekat na vyjádření.

smartgraphicstud · 2025-04-06 13:09:56

Obavam sa, ze zamestnanci endory nechodia na toto forum, takze musite pisat priamo na podporu.
Komu sa nechce cakat, pripravil som kratke videjko, ako stranku obnovit:

https://youtu.be/6Bw84pzX9u0

Prajem pekny den.

palpav · 2025-04-06 13:39:28

Děkuji za video, tu obnovu jsem právě měl předtím namysli - napsalo mi to při pokusu o obnovení chybu, takže jsem počítal s tím, že k obnově nedojde.
Nyní, když jsem se díval, tak obnova i přesto proběhla, takže zatím dobré. Zůstaly jen index soubory v adresářích, kde nemohu zasáhnout. Jak nezmizí, tak podpoře napíšu přímo.

Útočníci zasahovali i do databází? Přímo je nepoužívám (statické stránky), tak přemýšlím, jestli řešit i je...

Upravil palpav (2025-04-06 13:43:04)

smartgraphicstud · 2025-04-06 14:43:20

ked mate len staticku webstranku a stale nefunguje, je to jednoduche - staci odstranit (cez menu nie len subory cez ftp) celu subdomenu z endory, znova ju zalozit a uploadnut zalohu naspat

Upravil smartgraphicstud (2025-04-06 14:43:51)

virtualkavierka6 · 2025-04-06 16:34:18

Aj ja mám rovnaký problém.

virtualkavierka6 · 2025-04-06 17:52:42

Obnovu som vykonala podľa videa na youtube, ale stále to nefunguje.

smartgraphicstud · 2025-04-06 19:23:59

musite si pozriet systemove vypisy v endora ucte, chalan mi teraz pisal jeden co to robil podla mojho videa a trvalo to 2,5 hodiny, ja som to robil o 2 rano tak to bolo za pol hodku, teraz ked to vsetci obnovuju to moze trvat aj dni

citajte pozorne!

Upravil smartgraphicstud (2025-04-06 19:44:55)

smartgraphicstud · 2025-04-06 19:55:37

V inom vlakne tohto fora sa pise, ze staci pouzit jednoduchy script, ktory prepise presmerovanie stranky.:

https://podpora.endora.cz/viewtopic.php?pid=85254

Ti, ktorym to stale nejde, skuste napisat autorovi prispevku alebo na podporu.

Upravil smartgraphicstud (2025-04-06 19:58:59)

lachim16 · 2025-04-06 20:23:54

Po obnovené záloze někdy pomůže vymazat si v prohlížeči historii a nastavení serverů (v prohlížeči se to přesměrování někdy udrží), pak poznáte, jestli byla oprava úspěšná.

Taktéž můžete zkusit jiný prohlížeč nebo anonymní okno.

Upravil lachim16 (2025-04-06 20:25:09)

vjfjecoolnet · 2025-04-06 20:48:53

Taktéž stejný problém i na naší stránce. Napsala jsem na podporu a čekám na jejich pomoc. Obnovila jsem verzi a stejně to nefunguje, i podle tohohle návodu jsem postupovala. Za video moc děkuji, dost pomohlo. Myslím, že nás napadnutých je mnohem více, snad každá stránka, co běží přes endoru na wordpressu.

smartgraphicstud · 2025-04-06 20:52:30

vjfjecoolnet napsal:

Taktéž stejný problém i na naší stránce. Napsala jsem na podporu a čekám na jejich pomoc. Obnovila jsem verzi a stejně to nefunguje, i podle tohohle návodu jsem postupovala. Za video moc děkuji, dost pomohlo. Myslím, že nás napadnutých je mnohem více, snad každá stránka, co běží přes endoru na wordpressu.

vymazte si cache z prehliadaca alebo ine postupy, ako pise kolega vyssie, aj to pomoze

babettyjednoduse · 2025-04-07 18:11:17

Databázi není třeba obnovovat, tam se útočník nedostal. Problém je s tím index.php souborem v kořenovém adresáři. Ale ten nesmažu. Nemám právo.

ondramara · 2025-04-07 18:22:32

Jsem v kontaktu s majiteli 2 hacknutých webů (obojí Wordpress na Endoře). Už jsme obnovili zálohy, píšu jen kvůli mapování rozsahu útoku. Jsem zvědav, jestli se k tomu Endora nějak postaví.

vaclavdanek · 2025-04-07 18:25:15

Mám stejný problém. U Endory mám více webů a všechny weby ve všech složkách měly index.php s doplněným redirectem. A taky mě velice zajímá, jaká bude reakce Endory.

babettyjednoduse · 2025-04-08 22:03:04

vyřešil někdo ten soubor index.php v kořenovém adresáři?

rydloscz · 2025-04-11 15:32:50

Připadá mi to spíš že někomu z týmu endory Leaknuli přihlašovací údaje k SSH nebo má Wordpress v dotčené verzi CVE a viz je tu starší PHP verze která je již out of date.
Reakci endory spíš nečekejte admini tu nejsou než jsou. Mnohokrát bylo upozorňováno že je tu starší PHP a že je nutno upgradovat nestalo se tak.

Doporučuji všem dotčeným co mají infikované php index soubory v adresářích kde nemáte přístup kontakovat podporu na přímo nebo přejít na webglobe rovnou nebo konkurence.

Manhetn · 2025-05-05 10:38:58

Potvrzuji, předevčírem jsem musel natvrdo vymazat jak MySQL, tak celý web z FTP kde byl Wordpress. Útočník mi do složky s Wordpressem nahrál Google soubor pro ověření Google Search Console, soubor sitemap a .htaccess . Následně se i přes zakázané registrace na webu objevilo přes 4500 článků od různých uživatelů, které ani na Wordpressu nebyly registrovaní.
Byla to sice starší verze WP, ale vzhledem k tomu, že se tady začalo ozývat více lidí, tak to asi nebylo tím. Nechápu jak se útočníkovi podařilo nahrát soubory na FTP do složky s WP. Naštěstí web už jsem minimálně 7 let nepoužíval, takže jeho smazání mi tolik nevadí.

Upravil Manhetn (2025-05-05 15:11:11)

Manhetn · 2025-05-07 18:56:26

Takže pro všechny postižené útokem, raději si ověřte svou doménu na Google Search Console, zda-li stejně jako v mém případě útočník nevyužil k nahrání souboru sitemap (nahrání zálohy na Endoře nestačí, pokud byl web ověřen, ať už za pomocí domény nebo výše uvedeného Google search console verify souboru) . Ten jsem musel také vymazat, aby Google nevyhledával z mého neaktivního webu blbosti. To stejné platí i pro soubor robots.txt, který útočník skrze Wordpress také nahrál na FTP . Pokud jsem dobře koukal, tak v něm povolil několik škodlivých crawl botů.

Upravil Manhetn (2025-05-07 18:59:01)

JF · 2025-05-09 18:49:31

V případě že jste web nepoužíval tak dlouho (až 7 let), je zde vysoký předpoklad že jste neaktualizovali jak samotný WordPress tak ani použité doplňky i PHP verzi na hostingu (hodně webů běží na již neaktualizované PHP 5.6 ze strany vývojářů) a tím se mohl útočník do obsahu dostat přes nějakou slabinu která byla v novějších verzích opravena. Tímto způsobem útočník získá kompletní přístup k souborům FTP i obsahu databáze. Pokud máte v jednom účtu více domén, útočník přes jednu získá přístup ke všem a mohl tak ním požadované soubory vložit kamkoliv do vašeho FTP prostoru. Obnova obsahu nemusí vždy pomoct, protože může být infiltrace obsažena již v dané záloze. Některý útočníci provedou hacknutí, následně měsíc vyčkají aby byla infiltrace obsažena ve všech zálohách a až následně zasáhnout web plně čím zjistíte že je hacknutý. I po obnově je potřeba provést kompletní kontrolu obsahu jestli tam nezůstali nějaké pozůstatky z dob hodně minulých.

#1 2025-04-05 13:57:24

útok na ftp, nutno opravit jeden soubor, kde už nemám přístup

#2 2025-04-05 22:02:44

Re: útok na ftp, nutno opravit jeden soubor, kde už nemám přístup

#3 2025-04-05 22:10:17

Re: útok na ftp, nutno opravit jeden soubor, kde už nemám přístup

#4 2025-04-05 22:19:53

Re: útok na ftp, nutno opravit jeden soubor, kde už nemám přístup

#5 2025-04-05 22:40:45

Re: útok na ftp, nutno opravit jeden soubor, kde už nemám přístup

#6 2025-04-06 02:44:33

Re: útok na ftp, nutno opravit jeden soubor, kde už nemám přístup

#7 2025-04-06 11:29:08

Re: útok na ftp, nutno opravit jeden soubor, kde už nemám přístup

#8 2025-04-06 13:09:56

Re: útok na ftp, nutno opravit jeden soubor, kde už nemám přístup

#9 2025-04-06 13:39:28

Re: útok na ftp, nutno opravit jeden soubor, kde už nemám přístup

#10 2025-04-06 14:43:20

Re: útok na ftp, nutno opravit jeden soubor, kde už nemám přístup

#11 2025-04-06 16:34:18

Re: útok na ftp, nutno opravit jeden soubor, kde už nemám přístup

#12 2025-04-06 17:52:42

Re: útok na ftp, nutno opravit jeden soubor, kde už nemám přístup

#13 2025-04-06 19:23:59

Re: útok na ftp, nutno opravit jeden soubor, kde už nemám přístup

#14 2025-04-06 19:55:37

Re: útok na ftp, nutno opravit jeden soubor, kde už nemám přístup

#15 2025-04-06 20:23:54

Re: útok na ftp, nutno opravit jeden soubor, kde už nemám přístup

#16 2025-04-06 20:48:53

Re: útok na ftp, nutno opravit jeden soubor, kde už nemám přístup

#17 2025-04-06 20:52:30

Re: útok na ftp, nutno opravit jeden soubor, kde už nemám přístup

#18 2025-04-07 18:11:17

Re: útok na ftp, nutno opravit jeden soubor, kde už nemám přístup

#19 2025-04-07 18:22:32

Re: útok na ftp, nutno opravit jeden soubor, kde už nemám přístup

#20 2025-04-07 18:25:15

Re: útok na ftp, nutno opravit jeden soubor, kde už nemám přístup

#21 2025-04-08 22:03:04

Re: útok na ftp, nutno opravit jeden soubor, kde už nemám přístup

#22 2025-04-11 15:32:50

Re: útok na ftp, nutno opravit jeden soubor, kde už nemám přístup

#23 2025-05-05 10:38:58

Re: útok na ftp, nutno opravit jeden soubor, kde už nemám přístup

#24 2025-05-07 18:56:26

Re: útok na ftp, nutno opravit jeden soubor, kde už nemám přístup

#25 2025-05-09 18:49:31

Re: útok na ftp, nutno opravit jeden soubor, kde už nemám přístup

Zápatí